官公庁、公共団体の情報セキュリティ対策はまず会議室の増設から
官公庁や公共団体を訪問すると、大抵の場合、執務スペースの隅に設けられた会議卓に案内される。薄いパーティションで仕切られているのはいい方で、多くは大部屋の片隅のオープンなスペースである。民間企業を訪問する際には受付(最近は受付電話の場合が多い)で用件を告げると担当者が現れ、入り口近くに設けられた数多くの会議室に案内されるのとは大違いだ。官公庁・公共団体を訪問するとすでにいくつかの企業の訪問者が担当者と周りで打合せをしていたりすることが少なくない。当然何を話しているかは、同じ部署の職員はもちろん、外部から来た第三者にも筒抜けである。ちょっと面白そうな話をしようものなら、部屋中の人が耳ダンボになっているということも少なくない。また、部屋にはさまざまな事業スケジュールが張り出されていたり、案件名が書かれたファイルが散在していたり目のやり場に困ることもある。
こういった業務スタイルもあってか多くの官公庁、公共団体では、担当者の机のすぐ横まで何も断ることなく近くづことができる。場合によってはUSBデバイスをパソコンに挿入したり、ネットワークハブにスニッファを仕掛けたり、山のように積まれた書類を2、3束拝借したとしても気づかれることはなさそうだ。私の経験からいうとマスコミ関係の職場も依然オープンなところが多い。米国では市役所ですら業務エリアには立ち入ることができない。金属探知機とバッグをスキャンするX線装置、そして銃を持った屈強なガードマンに侵入を阻まれる。まあ、それはそれでどうかという気もするが。
官公庁・公共団体においても情報セキュリティ対策や個人情報保護対策の必要性が叫ばれて久しいが、物理的な侵入対策については必ずしも対策は進んでいないように思われる。この原因は、まず物理的なオフィス環境についての支出が全国的に制約が厳しいことが考えられる。施設整備のプロセスの中で、会議室の必要性が予算上認められにくいという構造的な問題があるようだ。職員の数あたりの会議室数、打合せの年間開催回数あたりの会議室数などをカウントすればその不足の状況が明らかになるように思えるのだが。
物理的なセキュリティ対策が遅れるもう一つの理由は、「開かれた官庁(団体)」という誤った言葉の使われ方ではないかと思う。「開かれた」という言葉によって思考が停止してしまい、何をすれば本当に「開かれた」ことになるのかということがよく考えられていないのではないだろうか。単純に物理的に開けば開かれたことになると思い込んでしまってはいないだろうか。「開かれる」とは必要な情報が必要な対象に適切な形で開示されることや、あるいは必要な人に対してきちんと窓口が開かれており適切な対応が行われることだと私は考える。市民が重要な情報を託している組織だからこそ守るべきものとそうでないものをしっかり区別し、執務環境においても開くべきところとそうでないところがあって当然だろう。
P.S. と言うものの、これからも嫌がらずにお部屋に入れてくださいね。官公庁・公共団体の皆様。よろしくお願いします。
P.S.2 似たような話を以前にも書いたことを思い出した・・・。
「ネットワークハブにスニッファを仕掛ける」とは
いつの時代の話?スイッチングHUBの機能を知らない?
もっと勉強しなさい!!
「とおりすがりのプロ中のプロ」さん貴重なコメントありがとうございます。
普通こういう状況でスニッフしようとする場合は、アップリンクノードをタップかリレーするでしょうから、スイッチングハブだから安全という考え方はかえって危険かもしれないですね。
さらに「もうちょっとプロ」になればMACアドレス詐称やMACテーブルの改ざんなんてことも可能ですのでやはりスイッチングハブも危険でしょう。
ちなみに、このあたりの内容を含んだ研修プログラムを提供していますので興味のある方はご連絡を。
ということで物理的にアクセスできればスイッチングだろうがダムハブだろうが若干手間はかかりますがいろいろできちゃうわけです。
データの暗号化とかいってる割には、プリントアウトされた「台帳」は鍵のかかっていないガラス戸の書類棚にきれいに並んでいたりして、土曜日に休日出勤か、休日の臨時工事のふりして入館できたら、「情報流出もらくらく」見たいな気がしてるんですが、そういうレベルのオフィス環境だってことですよね。
本件のような考えは私にも以前からありました。まだ執務室の中ならばいいが、場合によっては比較的楽に入れる場所にテーブル席が設けられていたり。。。
とはいっても、実情は書かれてあったとおりのようで、会議室が作れないようですね。実情を知ると、一方的に責める訳にもいかないかとも思えてしまいます。。。
官庁の性質にもよりますが、やはり中央省庁等についてはNational Securityの面からもきちんと取り組まないと、やられてからでは遅い(実際にやられていたりする可能性もありますし)と思います。
人により問題意識をかなり持っている人もいらっしゃると思うのですが新聞沙汰等にならないとなかなかスタンスを変えられないらしく、省庁再編が新聞記事に出てたりしますが、ここのあたりもう少し変化するといいのですが(駄目だろうなあ。。。)
民間企業だと帰宅時にはPCを鍵のかかるロッカーに格納して帰るといった対策も普及してきましたが、官庁の場合は鍵のかかるロッカー自体がなかったりしますしね。まあ机の上に山積みにされるような紙文書をきちんと管理する体制を作るところから作業する必要がありそうですが。
会議室の問題は間接的な場合が多いでしょうから、会議室がないために漏洩した情報というのは目に見えにくい問題かもしれないですね。
何回か、霞ヶ関の省庁におじゃましたことがありますが、おっしゃるとおりでした。会話の内容が周りに丸聞こえだったので、すごくやりづらかったのを覚えています。
また、そもそも入館のチェック自体が甘すぎるというのもありますが。。。
東京中小企業家同友会と言う経営者が自ら学び繁栄し積極的な活動をしています全国的な協会です。その中で、東京都では250社を占める女性経営者の女性部の代表をしております、㈱成食の林良江と申します。そこで、2年後には全国女性経営者の勉強会を100名を目標にしたいと思います。理由は、既存の女性経営者は元よりこれから企業を起こされる女性の方々への窓口も兼ねたいと思ったからです。私も15年前は企業を起こし、勉強会や経営者としての人脈もなくどこへ行って勉強したらいいのかわかりませんでした。今回は、関東地区の女性経営者の懇談会を100名近く行いたいと思います。2/20、午後6時から9時までです。出来たらアクセスの近い、東京駅近辺の会議室を探しておりますが、どこも高い金額です。公共でしたらお安い金額でないかと思いMLをさせていただきました。
どうか宜しくお願いいたします。
林良江さんこんにちは。
なぜこのコメントがここあるのか不思議な感じもしますが、都内各区のWebページなどをご覧になり、公民館等に電話されると良いのではないでしょうか?
良い会場が見つかるといいですね。